網(wǎng)絡(luò)信息安全月報(bào)第9期揭示APT組織威脅安恒信息提出防范建議

2月26日，新興網(wǎng)絡(luò)勒索組織Lapsus$成功突破英偉達(dá)的網(wǎng)絡(luò)防火墻，竊取到了近1TB數(shù)據(jù)，使得英偉達(dá)部分業(yè)務(wù)至少中斷兩天。而嚴(yán)格意義上來說，Lapsus$只能算黑客組織，卻不能算APT組織，因?yàn)樗鼪]有APT組織那么長期、深入。

如何區(qū)分APT組織，APT組織會(huì)帶來怎樣的威脅，如何防御他們?每日經(jīng)濟(jì)新聞與安恒信息聯(lián)合發(fā)布的第9期《網(wǎng)絡(luò)信息安全月報(bào)》就這一熱門話題進(jìn)行了深入分析。

APT攻擊，譯為“高級(jí)可持續(xù)威脅攻擊”，相對(duì)于普通黑客攻擊工具，針對(duì)性、攻擊復(fù)雜程度更高，往往具有持續(xù)性且隱蔽性更強(qiáng)。與普通黑客組織相比，很多APT組織具有國家背景，技術(shù)能力更強(qiáng)，組織更嚴(yán)密。相較于以商業(yè)經(jīng)濟(jì)利益為目的的普通黑客組織，APT組織的目的主要是以獲取政治、經(jīng)濟(jì)利益為出發(fā)點(diǎn)，對(duì)目標(biāo)的核心資料進(jìn)行竊取或者對(duì)關(guān)鍵基礎(chǔ)設(shè)施實(shí)施破壞。也就是說，APT攻擊不僅影響虛擬網(wǎng)絡(luò)世界，也會(huì)影響物理世界。

安恒信息推出的《安恒2021高級(jí)威脅態(tài)勢研究報(bào)告》顯示，政府部門和國防部門仍是APT攻擊主要針對(duì)目標(biāo)，其次是金融、航空以及醫(yī)療衛(wèi)生部分。2021年，政府、國防、金融、航空、醫(yī)療衛(wèi)生部門受APT攻擊比例分別為15.52%、6.16%、5.91%、4.43%和3.69%。

2021年2月5日，佛羅里達(dá)州Oldsmar水處理廠成為黑客網(wǎng)絡(luò)攻擊的目標(biāo)。。攻擊者遠(yuǎn)程訪問了奧爾茲馬水廠的供水系統(tǒng)，試圖將氫氧化鈉的含量提高到足以使該地區(qū)15000人面臨中毒風(fēng)險(xiǎn)的程度。幸好被工作人員及時(shí)監(jiān)測到系統(tǒng)異常，及時(shí)修正，才制止了災(zāi)難的發(fā)生。

目前，APT攻擊方式有水坑攻擊、網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚、零日(0day)攻擊、社會(huì)工程學(xué)攻擊等。其中，社會(huì)工程學(xué)攻擊是利用人性的弱點(diǎn)進(jìn)行攻擊，主要運(yùn)用欺騙和偽裝，通過突破受害者的心理防線，利用受害者的好奇心、信任關(guān)系、心理弱點(diǎn)等進(jìn)行攻擊。

業(yè)內(nèi)較為聞名的烏克蘭斷電事件，便是社會(huì)工程學(xué)攻擊的典型案例。2015年12月，攻擊者首先通過主題為“烏克蘭總統(tǒng)對(duì)部分動(dòng)員令”的釣魚郵件進(jìn)行投遞，受害者因好奇心點(diǎn)擊并啟動(dòng)BlackEnergy(一種用于創(chuàng)建僵尸網(wǎng)絡(luò)，進(jìn)行DDoS 攻擊的惡意軟件)的惡意宏文檔。之后，BlackEnergy在獲取了相關(guān)憑證后，便開始進(jìn)行網(wǎng)絡(luò)資產(chǎn)探測，橫向移動(dòng)，并最終獲得了系統(tǒng)的控制能力。此次攻擊造成烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民遭遇了一次長達(dá)數(shù)小時(shí)的大規(guī)模停電，至少3個(gè)電力區(qū)域被攻擊。

同時(shí)，安恒信息監(jiān)測到2021年涌現(xiàn)出大量針對(duì)ios和Android操作系統(tǒng)的新型移動(dòng)設(shè)備惡意軟件，APT組織可以在受害目標(biāo)的移動(dòng)設(shè)備上安裝間諜軟件、鍵盤記錄器等，從而監(jiān)控和竊取受害者的信息。

對(duì)此，安恒信息專業(yè)人士表示：“一般來說，普通大眾成為APT攻擊對(duì)象的可能較小，APT攻擊的目標(biāo)往往具有針對(duì)性，比如某某重點(diǎn)機(jī)構(gòu)人員、某某科技公司人員、某軍工單位人員等。”

“APT組織攻擊手機(jī)端，以手機(jī)作為入口侵入公司、機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)等情況具有一定的操作復(fù)雜性，雖然并不常見，但也并不是不可能”上述專業(yè)人士補(bǔ)充道。

面對(duì)APT組織的社會(huì)工程學(xué)攻擊，安恒信息專業(yè)人士建議應(yīng)當(dāng)時(shí)刻保持警惕，不輕易打開郵件附件，不隨意點(diǎn)擊未知鏈接，對(duì)不熟悉的社交對(duì)象保持警惕，時(shí)刻注重個(gè)人隱私，不隨意將一些重要的個(gè)人信息發(fā)布到社交媒體上，在一些需要填寫真實(shí)信息內(nèi)容的地方需要謹(jǐn)慎確認(rèn)。

企業(yè)機(jī)構(gòu)須及時(shí)培訓(xùn)相關(guān)網(wǎng)絡(luò)安全意識(shí)，普及一些網(wǎng)絡(luò)安全相關(guān)技術(shù)，讓企業(yè)員工能夠更好地理解和預(yù)防。

事實(shí)上，面對(duì)APT組織的攻擊，企業(yè)、政府機(jī)構(gòu)未必能做到完美的發(fā)現(xiàn)和防御，只能盡可能地完善防御體系。具體措施包括需要定期對(duì)設(shè)施進(jìn)行補(bǔ)丁升級(jí)及安全測試，盡可能減少弱點(diǎn)，在攻擊面的各個(gè)環(huán)節(jié)部署監(jiān)測設(shè)備，建立立體化的縱深防御體系，及時(shí)掌握威脅情報(bào)，提前做出預(yù)防和決策。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）